Miszel03

W raportach brak oznak infekcji. Temat przenoszę do działu Pozostałe zagadnienia komputerowe, gdzie uzyskasz dalszą pomoc. Dostarcz raporty z działu Hardware. Detekcję powiązane z IObit Advanced System Care Pro 10 wynikają z kontrowersji związanych z marką IObit, m.in kradzież bazy danych Malwarebytes oraz reklamotwórczość. Pod ocenę indywidualną zostawiam czy chcesz korzystasz z tego programu. Jeśli nie to go odinstaluj. Do wdrążenia będzie reset synchronizacji Google Chrome oraz reset preferencji ze względu na podejrzane modyfikacje. Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia (polecam wszystkie blokery reklam wymienić na jeden, wydajny uBlock Origin). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. EDIT: Temat przeniosłem, bo wcześniej zapomniałem, raporty z Hardware są w pierwszym poście użytkownika.

Ad. 1 Bardzo dziwna sprawa, bo widać, że jest zainstalowany i z poziomu logu Addition równieżgo widać. W takim razie powtórz tą akcję, ale za pomocą Program Install and Uninstall Troubleshooter. Jeśli powyższe zawiedzie to spróbuj wejść do katalogu C:\Program Files\Reimage i z jego poziomu uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe). Ad. 2 W momencie kiedy widzisz interfejs programu FRST na klawiaturze używasz kombinacji klawiszy CTRL + V, a następnie CTRL + S by zapisać zmiany. Po tym zabiegu klikasz w przycisk Naprawa / Fix. To musi działać.

To wygląda na poważne problemy z Hardware - tam też przenoszę Twój temat. Pamiętaj o wymaganych raportach przez dział Hardware. Do wykonania pobocznie: deinstalacja PUP oraz kosmetyka systemowa (kasacja pustych wpisów, niepotrzebnych skrótów LNK). Zastanów się również, z którego oprogramowania zabezpieczającego chcesz korzystać. Aktualnie posiadasz dwa (Microsoft Security Essentials oraz Avast Antivirus), a to zły wybór, bo będą się na wzajem kłócić. Zostawiłbym oprogramowanie Avast. 1. Przez Panel Sterowania odinstaluj program adware / PUP: Reimage Repair. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks\WorldofTanks.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk ShortcutTarget: PlutoTV.lnk -> C:\Users\Admin\AppData\Roaming\Pluto TV\PlutoTV.exe (Brak pliku) SearchScopes: HKU\S-1-5-21-2273012611-303174682-3880648035-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] S2 Hamachi2Svc; "C:\Program Files (x86)\LogMeIn Hamachi\x64\hamachi-2.exe" -s [X] S3 McComponentHostService; "C:\Program Files\McAfee Security Scan\3.11.474\McCHSvc.exe" [X] S3 Origin Client Service; "C:\Program Files (x86)\Origin\OriginClientService.exe" [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Dostarcz plik Fixlog.

System wygląda na uszkodzony (ale z drugiej strony kto wie czy to nie jest spowodowane Twoim manipulacjami w rejestrze): S3 PrintWorkflowUserSvc_6291d; C:\WINDOWS\system32\svchost.exe [45024 2017-08-26] (Microsoft Corporation) <==== UWAGA (Brak ServiceDLL) S3 PrintWorkflowUserSvc_6291d; C:\WINDOWS\SysWOW64\svchost.exe [40344 2017-08-26] (Microsoft Corporation) <==== UWAGA (Brak ServiceDLL) C:\WINDOWS\system32\codeintegrity\Bootcat.cache BRAK <==== UWAGA To tym się teraz będziemy zajmować. Sprawy poboczne to kasacja szczątkowych wpisów oraz zastanawiający Tryb testu, który nie wiedzieć czemu jest włączony. Infekcji tutaj nie widzę. Na początek poproszę o przefiltrowany raport SFC z opcji scannow oraz dodatkowo raport z Farbar Service Scanner (stan usługi Przywracania). Te wszystkie Twoje manipulacje w rejestrze...ja to muszę na spokojnie przejrzeć. Od razu powiem: cześć tego co tam jest da się w sposób normalny wyłączyć z poziomu systemu.

Wykonałeś sporą modyfikację i te raporty nic mi już nie mówią. Dostarcz nowy zestaw logów FRST w celu sprawdzenia systemu pod kątem infekcji (postaram się dziś odpowiedzieć).

Wygląda na to, że jest już w porządku, usuniemy tylko tą polityke względem Windows Defender, o którą pytałem (to masz w spoilerzE). Kończymy. Zastosuj DelFix, wyczyść punkty przywracanai systemu oraz zaktualizuj system Windows i inne ważne programy - KLIK.

Micro Foundation 2 version 1.3 (HKU\S-1-5-21-4238196658-422620013-1050771535-1000\...\{B1E414B9-EBB1-4940-B64B-83D18C2DB853}}_is1) (Version: 1.3 - Micro Foundation 2, Inc.) Czyli prawdopodobnie MBAM już usunął te elementy (choć tutaj mam raport tylko ze skanowania, bez kasacji). Hmm...no nic. W takim razie powtórz skan MBAM w celu oceny końcowej.

Posty łącze, używaj opcji Edytuj. Pomieszał mi się ten najświeższy log Addition z innego tematu. Najmocniej przepraszam. Odinstaluj jeszcze Micro Foundation 2 version 1.3 oraz RjlvBUc0gHzE Updater version 1.2.0.4, a następnie zrób pełny skan MBAM i dostarcz wyniki.

Jest w porządku, detekcja z Malwarebytes (ta przy ponownym uruchomieniu) to mocno szczątkowy element i możesz dać go do kasacji. Masz coś wspólnego z tym ustawieniem: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction (ograniczenie dot. Windows Defender)? Usuwałem to za pierwszym razem, ale wróciło. Potwierdź to jeszcze

Gdzie?

Sumzor Przytoczony tutaj regulamin jest regulaminem działu Malware, czyli działu zajmującego się leczeniem zainfekowanych systemów. W dziale Windows pomocy udzielają wszyscy użytkownicy, którzy czują się na siłach by to robić. Po za tym myślę, że Marcinowi możesz zaufać w związku ze świadczoną pomocą Staff to odpowiednik ekipy moderacyjnej, nie nazwa użytkownikom, tą możesz zauważyć tutaj:

Problem wynika ze szkodliwej modyfikacji pliku Hosts w związku z czym reguły Hosts resetuję. Dodatkowo: kasacja szczątek po Tencent, martwych wpisów oraz czyszczenie lokalizacji danych tymczasowych. Mam jednak jedno pytanie, czy Tryb testu został włączony celowo? Ja go wyłączam, ale w razie problemów po wyłączeniu proszę wykonać procedurę opisaną w spoilerze pod pkt. 1. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => -> Brak pliku HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QQPCTray.exe" /regrun HKLM-x32\...\Run: [BlueStacks Agent] => C:\Program Files (x86)\BlueStacks\HD-Agent.exe HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKU\S-1-5-21-1244533767-2505366996-2244784048-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yandex.ru/?win=227&clid=2261233 SearchScopes: HKU\S-1-5-21-1244533767-2505366996-2244784048-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://yandex.ru/search/?win=227&clid=2261234&text={searchTerms} SearchScopes: HKU\S-1-5-21-1244533767-2505366996-2244784048-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://yandex.ru/search/?win=227&clid=2261234&text={searchTerms} DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\mntemp C:\ProgramData\rxsmznjf.zcp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Native Instruments\Service Center\Native Instruments Homepage.lnk C:\Users\Marcin\AppData\Roaming\GiftBag.db C:\Users\Marcin\AppData\Roaming\msregsvv.dll C:\Users\Grzegorz\Desktop\Google Chrome.lnk C:\Users\Bogusia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Grzegorz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (to również jest etap sprawdzenie czy nic już nie blokuję tego programu). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Dostarcz pliki Fixlog i nowy raport FRST oraz Addition, już bez Shortcut.

Hej, byłem na wyjeździe. Dostarcz nowe raporty FRST, ale z tego co widzę i tak będziemy kończyć.

U mnie problem nie występuję. Temat przenoszę do działu Pomocy doraźnej, bo podejrzewam infekcję. Proszę o dostosowanie tematu pod ten dział: KLIK.

Na koniec zastosuj DelFix (kasacja używanych narzędzi do generacji raportów) oraz wykonaj kompleks aktualizacji (systemu oraz ważnych programów - KLIK.

Wyniki CureIT nie są zbyt oczywiste i raczej bez związku z problemem. Program DVDVideoSoft z tego co pamiętam ma moduł reklamotwórczy preaktywowany po danym czasie. Widzę, że i tak to były tylko resztki po tym programie. Informacje o detekcjach z Malwarebytes znajdziesz w zakładce Raporty w interfejsie. Jeśli zaś chodzi o problem tytułowy to raporty nie wykazują oznak infekcji. Proszę zmienić hasło do poczty do silne, duże, małe litery, znaki specjalne, cyfry, o ile to możliwe zaleciłbym wprowadzenie weryfikacji dwuetapowej.

Raporty nie wykazują oznak infekcji. W spoilerze zadaję działania poboczne (kosmetyka systemowa) oraz kompleksową reinstalację przeglądarki Google Chrome (wygląda na uszkodzoną). Temat przenoszę do działu Pozostałe zagadnienia komputerowe. Przeprowadź analizę długiego startu - KLIK.

System nie jest zainfekowany, jessica wdrożyła poprawne zadania. Skan SFC jednak należałoby powtórzyć na bazie naszego Tutoriala ( (czyli: opcja scannow i dostarcz przefiltrowany wynik).

Sprawdziłem raporty osobiście, jessica wykonała za mnie to co było do zrobienia. Na koniec do wdrożenia została: kasacja używanych narzędzi oraz aktualizacje systemu i ważnych programów - KLIK.

System nie został zainfekowany, więc winny jest sam pendrive i poszerzam w jego stronę diagnostykę. Po za tym: sprzątanie systemu z resztek (głównie po przeglądarce Mozilla FireFox) oraz kasacja adware. P.S: Martwi mnie brak jakiegokolwiek zewnętrznego oprogramowania zabezpieczającego, same zabezpieczenia systemu Windows 7 nie są wystarczające. Przejrzyj - KLIK. 1. Deinstalacje. Sugeruję pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji. Jak wyżej sugeruję również odinstalować program Ace Stream Media 3.1.16.1, bo program ze zintegrowanym modułem reklamotwórczym preaktywowanym po pewnym czasie. Przez panel sterowania odinstaluj program adware / PUP: PremierOpinion. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia CHR StartupUrls: Default -> "hxxp://www.mystartsearch.com/?type=hp&ts=1441544129&z=2b9e91457be18cf42f22bddgcz2zcgewezdc1tftcq&from=cor&uid=ST9500325AS_5VEPTTSRXXXX5VEPTTSR","hxxp://www.gazeta.pl/0,0.html?p=190" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Settlers IV - Złota Edycja\Dokumentacja\Instrukcja użytkownika.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Settlers IV - Złota Edycja\Dokumentacja\Poradnik do gry.lnk CHR HKLM-x32\...\Chrome\Extension: [mkndcbhcgphcfkkddanakjiepeknbgle] - C:\Program Files (x86)\PremierOpinion\pmcm.crx [2017-07-16] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\RAFAL\AppData\Local\Mozilla C:\Users\RAFAL\AppData\Roaming\Mozilla C:\Users\RAFAL\AppData\Roaming\Profiles CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Otwórz Google Chrome, a następnie Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.4. Wykonaj raport USBFix z opcji Listing oraz Research zrobiony przy wszystkich podpiętych problematycznych pendrivach. 5. Dostarcz plik Fixlog oraz nowe raporty FRST, ale już bez Shortcut, czyli tylko FRST i Addition.

Koniecznie do poczytania: KLIK. Lokalizacja C:\Qoobox\Quarantine zawiera dwa podfoldery. W jednym program umieszcza wszystkie usunięte pliki, a w drugim wpisu rejestru. Usuwając plik program dodaje końcówkę .vir w celu ich unieszkodliwienia. Usuwając wpis rejestru dodaje mu końcówkę .dat. Aby przywrócić skasowany pliku wystarczy usunąć dodane uprzednio rozszerzenie unieszkodliwiające .vir oraz przywrócić plik do oryginalnej lokalizacji, a następnie uruchomić system ponownie. Jeśli wszystko się powiedzie i odzyskasz to co chesz to proszę odinstalować ComoboFix (bo to program dla specjalistów odpowiednio przeszkolonych!) przez kliknięcie klawiszu z logiem Windows oraz R. W otworzonym oknie należny wkleić dyrektywę combofix /uninstall i nacisnąć ENTER. Proszę również o raporty z nowoczesnego FRST oraz FSS w celu analizy systemu.

Gładko poszło, wszystko pomyślnie wykonane. 1. Zagrożenia wykryte przez Malwarebytes daj do kasacji (to resztki po infekcjach). 2. Dostarcz nowe logi FRST i Addition oraz podsumuj obecny stan systemu.

To narzędzie nie do tych infekcji, choć owszem wykrywa je, ale z marnym skutkiem bo pominął wiele innych. Swoją drogą ta ochroną DNS przez Avast też raczej marnie działa. Jeśli jest możliwość zakupu Malwarebytes w formie ochrony proaktywnej to byłoby w przyszłości dużo lepiej, osobiście polecam, można go stosować razem z Avast'em, z którego bym nie rezygnował, bo to mimo wszystko naprawdę dobry produkt zabezpieczający. Tragedia, o ile to nie za mało powiedziane. Tutaj jest infekcja Nymaim, twardy zawodnik, będziemy się pewnie męczyć. Oprócz tego: masa infekcji adware / instalacji PUP. Gdyby tego było jeszcze mało, to proszę bardzo bieżące i przebite ustawieniami z Windows adresy DNS listowane w logu Addition wskazują na zagraniczne adresy (= raczej zainfekowane), pierwszy z nich jest izraelski (KLIK), a drugi z nich holenderski (KLIK). Te adresy już są mi znane, podobny temat: KLIK. 1. Deinstalacje. Za pomocą Program Install and Uninstall Troubleshooter odinstaluj adware / PUP: Online Application oraz Google Update Helper, bo to ogólny aktualizator produktów Google, które nie masz. Przez panel sterowania odinstaluj adware / PUP: hosts, SafeFinder, Save! nett, YoutubeAdBlock. Sugeruję pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji. 2. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony wykonaj poniższe kroki. 3. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {5A533448-197A-452B-855A-B45A9D814314} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\Windows\TEMP\{4E423159-21E8-43C9-97A5-723E542E003C}.exe Task: {E693DC6B-53FE-405B-8471-025C5B293491} - System32\Tasks\YourFile DownloaderUpdate => C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe Task: {FECC5E8A-E5A7-465F-AF14-7C205080B453} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{CD2B490C-969E-4769-9274-C0802A66C55E}.exe Task: C:\Windows\Tasks\A0EECDFC-B485-47CA-8AE4-6DB2B0B2691F.job => C:\Program Files (x86)\YueAckU\j45lXIS.dll Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\Windows\TEMP\{4E423159-21E8-43C9-97A5-723E542E003C}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{CD2B490C-969E-4769-9274-C0802A66C55E}.exe C:\Program Files (x86)\YourFileDownloader C:\Program Files (x86)\YueAckU HKLM-x32\...\Run: [] => [X] HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction HKU\S-1-5-21-4238196658-422620013-1050771535-1000\...\Run: [Devisdmo] => C:\Users\Bart\AppData\Roaming\aeev-1-0\espsrv.exe HKU\S-1-5-21-4238196658-422620013-1050771535-1000\...\Run: [Deviound] => C:\Users\Bart\AppData\Roaming\aeev-1-0\expsroxy.exe HKU\S-1-5-21-4238196658-422620013-1050771535-1000\...\Run: [svchostwn] => "%SystemRoot%\System32\WScript.exe" "C:\Users\Bart\AppData\Roaming\svchost store files\start64.vbs" //B "%1" %* HKU\S-1-5-21-4238196658-422620013-1050771535-1000\...\Run: [svchostws] => "%SystemRoot%\System32\WScript.exe" "C:\Users\Bart\AppData\Roaming\svchost local files\start.vbs" //B "%1" %* AppInit_DLLs: C:\ProgramData\Hotfresh\Toughsoft.dll => C:\ProgramData\Hotfresh\Toughsoft.dll [343552 2017-08-06] () Startup: C:\Users\Bart\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchostwn.vbs [2017-08-09] () Startup: C:\Users\Bart\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchostws.vbs [2017-08-07] () C:\Users\Bart\AppData\Roaming\aeev-1-0 C:\Users\Bart\AppData\Roaming\svchost store files C:\Users\Bart\AppData\Roaming\svchost local files C:\ProgramData\Hotfresh C:\Users\Bart\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchostwn.vbs C:\Users\Bart\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchostws.vbs GroupPolicy: Restriction - Chrome CHR HKLM\SOFTWARE\Policies\Google: Restriction Tcpip\..\Interfaces\{96CC1913-6F1B-4B3E-AC07-9DFA56944743}: [NameServer] 82.163.142.8,95.211.158.136 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvGyvSgUEGR396YOlls81sgcivlf5qUvj6-5-iMFM2KOjiNYR2bp5xIfptIf8ApJs0nPJ_Blx9dAg7k7qZVWDfy8rPSbpncwqu9nWq_t6kyYRtHAAmJSehyWC3w2n2FilVHl5thp5PFSu4yIxAnSmGR8IXlw,,&q={searchTerms} SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2504091 SearchScopes: HKU\S-1-5-21-4238196658-422620013-1050771535-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxp://isearch.avg.com/search?cid={A7837AA3-2B92-4216-A713-670611466DBC}&mid=850056166ce147d0bfc6316fe5f6b463-3201bf0c8793f208631c6fe875066179091793a7&lang=pl&ds=xn011&pr=sa&d=2012-11-30 12:37:40&v=15.2.0.5&pid=avg&sg=0&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-4238196658-422620013-1050771535-1000 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2504091 SearchScopes: HKU\S-1-5-21-4238196658-422620013-1050771535-1000 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvGyvSgUEGR396YOlls81sgcivlf5qUvj6-5-iMFM2KOjiNYR2bp5xIfptIf8ApJs0nPJ_Blx9dAg7k7qZVWDfy8rPSbpncwqu9nWq_t6kyYRtHAAmJSehyWC3w2n2FilVHl5thp5PFSu4yIxAnSmGR8IXlw,,&q={searchTerms} BHO: No Name -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> No File BHO: No Name -> {F4F34E6A-5C2C-AF27-DA53-C43B16B839D6} -> No File BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File BHO-x32: No Name -> {dcfb5bfe-1f58-4b1d-96a7-3c7bbae51b36} -> No File Toolbar: HKU\S-1-5-21-4238196658-422620013-1050771535-1000 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File S4 backlh; C:\ProgramData\Logic Cramble\set.exe [3780096 2017-08-07] () [File not signed] R2 RjlvBUc0gHzE Updater; C:\Program Files (x86)\RjlvBUc0gHzE Updater\RjlvBUc0gHzE Updater.exe [313344 2017-08-06] () [File not signed] S2 Hotfresh; C:\ProgramData\\Hotfresh\\Hotfresh.exe shuz -f "C:\ProgramData\\Hotfresh\\Hotfresh.dat" -l -a C:\ProgramData\Logic Cramble C:\Program Files (x86)\RjlvBUc0gHzE Updater C:\ProgramData\\Hotfresh\ C:\ProgramData\Hotfresh C:\ProgramData\Hotfreshs R1 wStLibG64; C:\Windows\System32\drivers\wStLibG64.sys [61120 2014-04-05] (StdLib) 2017-08-07 12:43 - 2017-08-07 12:43 - 000604928 _____ (Reimage) C:\Users\Bart\Downloads\ReimageRepair (1).exe 2017-08-07 11:00 - 2017-08-07 16:37 - 000000140 _____ C:\Windows\Reimage.ini 2017-08-07 11:00 - 2017-08-07 11:00 - 000604928 _____ (Reimage) C:\Users\Bart\Downloads\ReimageRepair.exe 2017-08-06 18:57 - 2017-08-06 18:57 - 000000000 ____D C:\Program Files (x86)\Nine 2017-08-06 18:54 - 2017-08-07 14:34 - 000000000 ____D C:\Program Files (x86)\YueAckU 2017-08-06 18:54 - 2017-08-07 14:34 - 000000000 ____D C:\Program Files (x86)\YtuAskU2 2017-08-06 18:54 - 2017-08-07 14:34 - 000000000 ____D C:\Program Files (x86)\YpuAskUn 2017-08-06 18:54 - 2017-08-07 14:34 - 000000000 ____D C:\Program Files (x86)\YeuAskIE 2017-08-06 18:54 - 2017-08-07 14:34 - 000000000 ____D C:\Program Files (x86)\FastDataX 2017-08-06 18:54 - 2017-08-06 18:54 - 000000000 ____D C:\ProgramData\71ade274-1d13-0 2017-08-06 18:54 - 2017-08-06 18:54 - 000000000 ____D C:\ProgramData\71ade274-1a77-1 2017-08-06 18:53 - 2017-08-06 18:53 - 000000000 ____D C:\ProgramData\4e31fc97-08f5-1 2017-08-06 18:53 - 2017-08-06 18:53 - 000000000 ____D C:\ProgramData\4e31fc97-04a1-0 017-08-06 18:49 - 2017-08-07 12:38 - 000015606 _____ C:\Windows\SysWOW64\findit.xml 2017-08-06 18:49 - 2017-08-06 18:49 - 007324160 _____ () C:\Users\Bart\AppData\Local\agent.dat 2017-08-06 18:49 - 2017-08-06 18:49 - 001899067 _____ () C:\Users\Bart\AppData\Local\Beta-Bam.tst 2017-07-02 10:57 - 2017-07-02 10:57 - 000000000 ____H () C:\Users\Bart\AppData\Local\BIT8812.tmp 2017-08-06 18:49 - 2017-08-06 18:49 - 000070800 _____ () C:\Users\Bart\AppData\Local\Config.xml 2017-08-06 18:48 - 2017-08-06 18:49 - 000016512 _____ () C:\Users\Bart\AppData\Local\InstallationConfiguration.xml 2017-08-06 18:48 - 2017-08-06 18:48 - 000140800 _____ () C:\Users\Bart\AppData\Local\installer.dat 2017-08-06 18:49 - 2017-08-06 18:49 - 001895382 _____ () C:\Users\Bart\AppData\Local\Instrong.bin 2017-08-06 18:49 - 2017-08-06 18:49 - 000018432 _____ () C:\Users\Bart\AppData\Local\Main.dat 2017-08-06 18:49 - 2017-08-06 18:49 - 000005568 _____ () C:\Users\Bart\AppData\Local\md.xml 2017-08-06 18:49 - 2017-08-06 18:49 - 000126464 _____ () C:\Users\Bart\AppData\Local\noah.dat 2017-08-06 18:48 - 2017-08-07 12:38 - 001847296 _____ () C:\Users\Bart\AppData\Local\po.db 2017-08-06 18:49 - 2017-08-06 18:49 - 000278510 _____ () C:\Users\Bart\AppData\Local\Quotesantax.tst DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Bart\AppData\Local\Mozilla C:\Users\Bart\AppData\Roaming\Mozilla C:\Users\Bart\AppData\Roaming\Profiles C:\Program Files (x86)\Google C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\Bart\AppData\Local\Google DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google CMD: ipconfig /flushdns CMD: netsh advfirewall reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Bart\AppData\Local CMD: dir /a C:\Users\Bart\AppData\LocalLow CMD: dir /a C:\Users\Bart\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

To jakby...infekcja pliku systemowego, ale na pewno nie poprzez jego podmianę, bo z raportów: C:\Windows\system32\svchost.exe => Plik podpisany cyfrowo C:\Windows\SysWOW64\svchost.exe => Plik podpisany cyfrowo Załącz nowe raport FRST i daj wynik przefiltrowany wynik z SFC (opcja sfc scannow). Rozumiem, że cała reszta już w porządku?

To resztki po infekcjach. Wszystkie zagrożenia proszę dać do kasacji, a następnie ponownie uruchomić komputer i potwierdzić czy na pewno wszystko działa już poprawnie. Jeśli tak to proszę użyć DelFix i to będzie na tyle.